“Was beobachtest du?” Überwachungskamera von Bansky. Schablone auf Beton. “Marble Arch” Haltestelle, London, England. 2004.

Warum ich meinen Freunden gesagt habe, sie sollen WhatsApp und Telegram nicht mehr benutzen

Trotz Ende-zu-Ende Verschlüsselung spioniert Big-Brother dein Handy aus: Durch Meta-Daten.

Dies ist die deutsche Übersetzung eines ursprünglich von Romain Aubert auf Free Code Camp veröffentlichten englischen Artikels zum Thema Sicherheit von Messengern.


Heute Morgen habe ich meinen Freunden gesagt, sie sollen aufhören, WhatsApp und Telegram zu benutzen und habe ihnen eine Aufforderung geschickt, zum Signal Messenger zu wechseln.

Das ist der Grund:

Verschlüsselungs-Protokolle: Das Signal-Protokoll im Vergleich zu Telegrams MTProto

Es ist dir vielleicht nicht bewusst, aber wahrscheinlich benutzt du bereits das Signal-Protokoll - genau, wie mehr als einer Milliarde Menschen dies jeden Tag tun.

Das Signal Protokoll wird von WhatsApp, Facebook Messenger, Google Allo
und Signals eigener App verwendet. Aber was ist eigentlich das Signal-Protokoll?

Das Signal-Protokoll ist ein kryptographisches Kommunikationsprotokoll für Ende-zu-Ende-verschlüsselten Nachrichtenaustausch wie zum Beispiel bei Instant Messaging. - Wikipedia

Ende-zu-Ende Verschlüsselung bedeutet, dass jede Nachricht zunächst auf dem Gerät des Senders verschlüsselt wird und nur auf dem Gerät des Empfängers wieder entschlüsselt werden kann.

Das ist die Technologie, die WhatsApp seit ein paar Monaten benutzt, nachdem sie folgende Nachricht in deinem Chat angezeigt haben:

Bildquelle

Das Signal-Protokoll wurde von Open Whisper Systems entwickelt, einer 2013 vom früheren Twitter-Sicherheitschef Moxie Marlinspike gegründeten
Non-Profit-Organisation, die entstand, nachdem der 140-Zeichen Dienst die erste sichere Kurznachrichten-Firma von Open Whispers übernommen hatte.

Open Whisper Systems konzentriert sich auf die Entwicklung des Signal-Protokolls und betreut außerdem eine Kurzmitteilungs-App namens „Signal“. Die Firma finanziert sich aus einer Mischung von Spenden und Fördermitteln.

Das Signal-Protokoll wurde im Oktober 2016 von einem Team internationaler Sicherheitsexperten untersucht und bekam überschwängliche Bewertungen.

Also sollte man meinen, dass man als Benutzer von WhatsApp, Facebook Messenger und Google Allo auf der sicheren Seite ist, da sie auch das Signal-Protokoll benutzen.

Nunja, nicht wirklich.

Da beim Facebook Messenger und Google Allo die Verschlüsselung standardmäßig deaktiviert ist, muss man beim Facebook Messenger erst manuell „Secret Conversations“, bzw. bei Allo den „Incognito Modus“ aktivieren.

Telegram, eine von 100-Millionen Usern verwendete App, die von Pavel Durov, dem Gründer des Social Media Netzwerks VK entwickelt wurde, benutzt ein eigenes Verschlüsselungsprotokoll: Das MTProto-Protokoll.

Nach einigen kontroversen Diskussionen über das Verschlüsselungsprotokoll hat ein Sicherheitsexperte 2015 einige „grundlegende Sicherheitsmängel“ in diesem Papier veröffentlicht und kam zu dem Ergebnis, dass es besser gewesen wäre, wenn MTProto kein eigenes Verschlüsselungsprotokoll entwickelt hätte.

Damit bleiben WhatsApp und Signal die einzigen beiden Anwendungen, die
das Signal-Protokoll standardmäßig verwenden.

Also warum nicht einfach weiter WhatsApp benutzen?

Die Antwort liegt in der Verwendung von Meta-Daten.

Datensammlung und Meta-Daten

Über Meta-Daten und Datensammeln hat es viele Diskussionen gegeben, wobei häufig Aussagen nach folgendem Motto gemacht werden:

Wir können die Inhalte der Kommunikation nicht mitlesen, weil wir Ende-zu-Ende-Verschlüsselung benutzen, wir können lediglich Meta-Daten sammeln.

Der Begriff Meta-Daten ist ofmals recht schwammig. Der Einfachheit halber folgt hier eine klare Begriffs-Definition:

Haben eure Leser Schwierigkeiten, den Begriff Meta-Daten zu verstehen? Ersetzt ihn mit “Aktivitätsprotokoll.” Genau das bedeutet es. #Klarheit

Solltest du dir unsicher sein, was es damit auf sich hat, lies diesen Artikel von EFFs Kurt Opsahl. Er nennt einige Beispiele dafür, was Firmen und Regierungen wissen, wenn sie Meta-Daten sammeln:

Sie wissen, dass du um 2:24 Uhr eine Sex-Hotline angerufen hast
und 18 Minuten lang „gesprochen“ hast. Aber sie wissen natürlich nicht
worüber.
Sie wissen, dass du eine Telefon-Seelsorge von der Golden-Gate Brücke
aus angerufen hast, aber das Thema des Anrufes bleibt natürlich ein
Geheimnis.
Sie wissen, dass du mit einem Dienstleister für HIV-Tests telefoniert
hast und in der gleichen Stunde dann mit deinem Arzt und deiner
Krankenversicherung. Aber worüber ihr gesprochen habt, wissen sie
wahrscheinlich nicht.

Nachdem du nun weißt, was Meta-Daten sind, lass es mich noch einmal wiederholen: Ende-zu-Ende Verschlüsselung hindert die Betreiber von Instant-Messenger Diensten nicht daran, Meta-Daten zu sammeln.

Lasst uns mal einen Blick darauf werfen, was sie genau sammeln:

WhatsApp

Die FAQ von WhatsApp sagt, dass die Anwendung Zugang zu allen
Telefonnummern in deinem Telefonbuch hat und dass sie jede
Menge Informationen
über dich sammeln.

Interessanterweise werden deine Nachrichten nicht auf den WhatsApp Servern, sondern auf deinem Telefon gespeichert. Wenn du nun den Fehler machst, ein (unverschlüsseltes) Backup von deinem Handy (in der Cloud) zu speichern, können die Nachrichten unter Umständen gelesen werden.

Bezüglich der Daten, die WhatsApp von dir sammelt, äußern sie sich etwas
vage. Allerdings geben sie zu, dass sie Informationen über deine Aktivitäten sammeln.

Usage and Log Information. We collect service-related, diagnostic, and performance information. This includes information about your activity (such as how you use our Services, how you interact with others using our Services, and the like), log files, and diagnostic, crash, website, and performance logs and reports.
Benutzungs- und Ereignisinformationen. Wir sammeln dienstbezogene, diagnostische und Leistungsdaten. Dies beinhaltet Informationen über deine Aktivitäten (z.B. wie du den Dienst benutzt, wie du mit anderen Benutzern interagierst u.s.w.), Ereignisprotokolle und Diagnose-, Absturz-, Webseiten- und Leistungsdaten und Berichte.

Außerdem sammelt WhatsApp Daten über dein Gerät, wenn du die App installierst, dich mit dem Server verbindest oder den Dienst benutzt — z.B. das Handymodell, sein Betriebssystem, Informationen von deinem Webbrowser, IP-Adresse, Mobilfunknetzwerk — deine Telefonnummer eingeschlossen.

Und wenn sie an deine Daten nicht direkt herankommen, dann sammeln sie sie, wenn deine Freunde dir schreiben, da sie auch Zugang zu den Aktivitätsprotokollen aller deiner Freunde haben.

Neben den unverschlüsselten Backups wurden auch andere Bedenken von der Electronic Frontier Foundation geäußert. Dies betrifft Mitteilungen über Änderungen des Schlüssels, WhatsApps Web-App und das Teilen von Daten mit Facebook, die WhatsApp 2014 übernommen haben.

Ap­ro­pos Facebook…

Facebook Messenger

Das “MIT Technology Review” schrieb:

Facebook sammelt den weitreichendsten Datensatz, der jemals über menschliches Sozialverhalten angelegt wurde.

Ich muss nicht genau aufschlüsseln, welche Daten Facebook sammelt. Facebook ist dein Freund, also machen sie es dir leicht nachzuvollziehen, was für ein guter Freund sie sind:

Ausschnitt aus der ofiziellen Facebook-Datenrichtlinie

Google Allo

Googles Messenger Allo ist von Sicherheitsexperten scharf kritisiert worden.

Google kann nicht nur jede Nachricht mitlesen, sondern sie speichern auch alle Unterhaltungen.

Ganz einfach.

Hier ist Edward Snowdens ironisch gemeinte Werbung für Allo:

Gratis Download heute: Google Mail, Google Maps und Google Überwachung. Das ist #Allo. Benutze es nicht.

Telegram

Wie ich erwähnt habe, ist das Verschlüsselungs-Protokoll von Telegram nicht sicher. Lassen wir das einen Moment außer Acht und fragen uns, was für Daten sie von ihren Nutzern sammeln?

Nachrichten, Bilder, Videos und Dokumente (bis auf die „Secret Chat“-Nachrichten) werden verschlüsselt auf den Telegram-Servern gespeichert. Genau wie Whatsapp und Facebook greift Telegram auf dein Adressbuch zu und speichert deine Kontaktliste auf deren Server. Nur so können sie dir eine Benachrichtigung schicken, wenn jemand aus deinem Adressbuch sich neu bei Telegram anmeldet. Nett von ihnen, oder?

Signal

Die einzigen Daten, die Signal erhebt, sind deine Telefonnummer und wann du zuletzt mit dem Server verbunden warst.

Das ist alles.

Sie speichern nicht einmal die Stunde, Minute oder Sekunde — Nur den Tag.

Wenn du dich schelmisch fühlst, bietet Signal sogar sogenannte Disappearing Messages an, verschwindende Nachrichten, die nach einer frei wählbaren Zeit automatisch gelöscht werden.

Und Signal ist kostenlos. Wirklich kostenlos. Das bedeutet, dass sie nicht versuchen, deine Daten an die Werbeindustrie zu verkaufen wie
Facebook und Google das mit ihren Messenger-Apps vorhaben. Du kannst für die Weiterentwicklung von Signal hier spenden.

Außerdem ist der Code von Signal frei verfügbar, open-source und kann von
jedem auf GitHub eingesehen und überprüft werden.

Warum sollte ich mich um meine Privatsphäre kümmern?

Es könnte sein, dass du der Meinung bist:

Wen kümmert’s? Ich habe nichts zu verbergen!

Ergänzung vom 13.01.2017: Die “Hintertür”-Schwachstelle bei WhatsApp, die von der Zeitung “The Guardian” angesprochen wurde, ist nicht neu. Die Benutzung der Hintertür wurde von einigen als “relativ starkes Wort” und “höchstgradig Ungenau” bezeichnet. Was der Guardian als “Hintertür” bezeichnet, bietet genau genommen eine offene Tür für einen Man-in-the-middle-Angriff, der aufgrund einer Erneut-Senden-Schwachstelle ausgeführt werden kann. Die Erneut-Senden-Schwachstelle von WhatsApp — und warum Signal besser ist hat Tobias Boelter erklärt. Man kann ihr relativ einfach mit den richtigen Einstellungen begegnen. Wie Frederic Jacobs sagt, ist es ein Entscheidung zwischen Benutzerfreundlichkeit und Sicherheit:

Sollte die Schlüssel-Überprüfung zu einer verhinderten oder nicht verhinderten Interaktion führen? Signal hat sich für die verhinderte entschieden. WhatsApp für die nicht verhinderte. #BenutzerErfahrung-gegen-Sicherheit?

Warum das so ist, kannst du hier nachlesen.

Wenn der Blog-Post hilfreich für dich war, klicke bitte auf das grüne Herz unten. Das wäre großartig. Vielen Dank.

Der Artikel ist außerdem in Spanisch und Türkisch übersetzt worden.

Du kannst mich gerne auf Twitter kontaktieren, wenn du mit mir quatschen willst oder dich auf einen Kaffee in Hong Kong verabreden möchtest.

www.twitter.com/romaub


Deutsche Übersetzung von Jörn Bielewski. Folgt mir auch auf twitter, diaspora oder steemit.


➤➤ Folge Medium auf Deutsch auf Twitter | Facebook | RSS. Du möchtest selbst auf Medium schreiben? Klicke hier, um mehr zu Medium Deutsch und dem Schreiben auf Medium zu erfahren!